محمد بختیاری

فلیپ بورد به‌دنبال بروز رخنه امنیتی، میلیون‌ها پسورد حساب کاربری را ریست کرد

به‌دنبال دسترسی هکرها به داده‌های کاربران طی ۹ ماه گذشته، سرویس خبرخوان و رایگان فلیپ‌بورد درنهایت تصمیم گرفت پسورد حساب کاربری میلیون‌ها کاربر خود را ریست کند.

براساس اعلام شرکت، سرویس خبرخوان فلیپ‌بورد اولین‌بار در بازه‌ی زمانی ۲ ژوئن ۲۰۱۸ برابر با ۱۲ خرداد ۱۳۹۷ تا تاریخ ۲۳ مارس ۲۰۱۹ برابر با ۳ فروردین‌ماه ۱۳۹۸ مورد نفوذ هکرها قرار گرفته و برای بار دوم نیز در تاریخ ۲۱-۲۲ آوریل برابر با ۱-۲ اردیبهشت‌ماه این اتفاق مجددا تکرار شده است. اما به‌نظر می‌رسد نفوذ هکرها یک روز بعد و در تاریخ ۲۳ آوریل برابر با ۳ اردیبهشت‌ماه شناسایی شده است.

هکر

مقاله‌های مرتبط:

در این نفوذ، هکرها موفق به دسترسی به نام کاربری، آدرس ایمیل، پسورد و حساب کاربری کاربران این سرویس شده‌اند. فلیپ‌بورد ادعا می‌‌کند که تمامی حساب‌های کاربری این سرویس مورد نفوذ قرار نگرفته‌اند، ولی از ارائه‌ی آمار دقیق‌تر حساب‌های کاربری هک‌شده نیز امتناع کرده است. درنتیجه مشخص نیست که چه تعداد از حساب‌های کاربری فلیپ بورد تحت تاثیر نفوذ هکرها قرار گرفته‌اند. 

در هر ماه حدود ۱۵۰ میلیون کاربر فعال از سرویس خبرخوان رایگان فلیپ‌بورد استفاده می‌کنند. فلیپ بورد در مورد حمله‌ی هکری به سرویس خبرخوان خود اعلام کرد:

در حال شناسایی حساب‌های کاربری هستیم که تحت تاثیر نفوذ هکرها قرار گرفته‌اند. باتوجه به اینکه می‌خواهیم جوانب احتیاط را رعایت کنیم، پسورد تمامی حساب‌های کاربری را ریست کردیم و توکن‌های دیجیتالی را جایگزین یا حذف کردیم.

پسوردها قابل مشاهده نبودند، اما فلیپ‌بورد اعلام کرد که گذرواژه‌های مربوط‌به قبل از تاریخ ۱۴ مارس ۲۰۱۲ از  الگوریتم SHA-1 استفاده می‌کنند که ضعیف‌تر است. پسوردهای مربوط‌به بعد از این تاریخ، الگوریتم قوی‌تری دارند و دسترسی به آن‌ها بسیار پیچیده‌تر خواهد بود. باتوجه به اینکه نفوذ هکرها شامل دسترسی به توکن حساب کاربری نیز می‌شود، درنتیجه هکرها ازطریق سرویس فلیپ‌بورد می‌توانند به سایر سرویس‌های کاربر ازجمله فیسبوک، گوگل و سامسونگ دسترسی داشته باشند. فلیپ‌بورد اعلام کرد: 

هنوز مدرکی دال بر دسترسی شرکت‌های شخص ثالث به داده‌های کاربران فلیپ‌بورد در دسترس نیست. ولی به‌عنوان یک اقدام احتیاطی، کلیه‌ی توکن‌های دیجیتالی را جایگزین یا حذف کرده‌ایم.

فلیپ‌بورد به‌عنوان یکی از غول‌های فناوری شناخته می‌شود که طی ماه‌های اخیر تحت تاثیر نفوذ هکرها قرار گرفته است. اواخر اردیبهشت‌ماه نیز . همچنین Canva، یکی از بزرگ‌ترین سایت‌های اینترنتی نیز هک شده است. هفته‌ی گذشته نیز، شرکت استرالیایی اعلام کرد که در اثر بروز شکاف امنیتی، حساب‌های کاربری ۱۴۰ میلیون کاربر تحت تاثیر قرار گرفته‌ است.

تشخیص چهره کامپیوتری و تهدیدی که به‌مرور خود را نشان می‌دهد

شهر سان‌فرانسیسکو در آمریکا چندی پیش قانونی را مطرح کرد که هرگونه استفاده‌ی دولت از فناوری تشخیص چهره را ممنوع خواهد کرد. در صورت تصویب نهایی، سان‌فرانسیسکو را می‌توان اولین شهر آمریکایی نامید که چنین محدودیتی را برای فناوری وضع می‌کند. امروزه پلیس، آژانس‌های دولتی و کسب‌وکارهای متعددی به استفاده از فناوری تشخیص چهره تمایل نشان داده‌اند، اما قوانین محکمی برای تنظیم مقررات استفاده از فناوری حتی در کشوری همچون آمریکا هم وجود ندارد.

مقاله‌های مرتبط:

بسیاری از مردم نگران فناوری‌های تشخیص چهره و ردگیری شدن در مکان‌های عمومی هستند. به‌علاوه، تشکیل پروفایل از خصوصیات و رفتارها و سوابق سفرهای شخصی نیز آن‌ها را نگران می‌کند. درمقابل به‌نظر نمی‌رسد دولت‌ها نگرانی خاصی در این مورد داشته باشند و برای قانون‌گذاری دقیق‌تر اقدامی انجام دهند. همین توجه‌نکردن به نگرانی‌ها و وجود نداشتن قوانین روشن، نگرانی اصلی در ارتباط با فناوری تشخیص چهره محسوب می‌شود.

رومن چادهوری، مدیر بخش هوش مصنوعی شرکت اکسنچر در واکنش به قانون‌گذاری شهر سان‌فرانسیسکو توییت کرده بود:

ما نقصی جدی در قانون‌گذاری این فناوری‌ها داریم. آیا ما در وضعیتی خطرناک زندگی می‌کنیم که به چنین فناوری‌هایی نیاز پیدا کرده‌ایم؟ آیا نظارت‌های تنبیهی، تنها راه رسیدن به جامعه‌ای سالم هستند؟

وقتی با فناوری‌های جدید و پرطرفدار همچون واقعیت مجازی، واقعیت افزوده و موارد مشابه روبه‌رو می‌شویم، در اولین قدم باید یک سؤال با مضمون چرایی دستیابی به فناوری‌ها بپرسیم. چرا دولت‌ها یا کسب‌وکارها به فناوری تشخیص چهره نیاز دارند؟ قطعا مردم قانون‌گذاری فناوری‌ها را انجام نمی‌دهند. افرادی در کار قانون‌گذاری هستند که بیشترین نفع را از آن می‌برند. آن‌ها یا ازطریق فروش تجهیزات یا استفاده از فناوری برای کاهش نیروی کاری از دستاوردهای جدید سود می‌برند. درواقع هیچ‌گاه هدف نهایی جامعه یا تمدن نیست و تقریبا همه‌چیز به پول و قدرت ختم می‌شود.

تشخیص چهره

پول و قدرت را نمی‌توان تنها دلایل پشت‌صحنه برای دستیابی به فناوری تشخیص چهره دانست. در طول تاریخ، همکاری و کنارهم‌بودن یکی از پایه‌های اصلی بقا در انسان‌ها بوده است. به‌علاوه، نیاز به دسته‌بندی انسان‌ها و تشکیل گروه‌هایی موسوم به «دیگران» همیشه در همه‌ی جوامع حس می‌شود. متأسفانه در مسیر همین برداشت‌ها، سوءتفاهم‌ها و گمان‌هایی پیرامون شخصیت و رفتارهای افراد ایجاد می‌شوند. درنهایت به‌خاطر همین سوءبرداشت‌ها ترس و عدم امنیت در میان شهروندان، دولت‌ها و مجربان قانون نفوذ می‌کند.

ما در طول تاریخ به دسته‌بندی جامعه و تشکیل گروهی به‌نام «دیگران» تمایل داشته‌ایم

امروزه ترکیب شدن ترس همیشگی انسان‌ها با جوامعی بسیار بزرگ‌تر و پویاتر و متنوع‌تر، رفتارهای جدیدی را در میان ما انسان‌ها ایجاد کرده است. ما امروز همدیگر را می‌شناسیم، اما شناخت کافی از هم نداریم. به‌علاوه تلاش می‌کنیم تنها در مواقع ضرورت با هم ارتباط برقرار کنیم. در ادامه، ترس ما باعث می‌شود تا سرمایه‌گذاری بیشتری روی مباحث امنیتی داشته باشیم. برای درک بهتر کافی است به تعداد بالای دوربین‌های مداربسته در فروشگاه‌ها و خانه‌های امروزی دقت کنید.

اگر انسان‌ها رفتارهای اجتماعی‌تر، بازتر و هم‌دلانه‌تری در جامعه داشته باشند، ترس موجود نیز از بین می‌رود. درنتیجه‌ی مقابله با همین ترس کاذب، می‌توان امنیت بیشتر را احساس کرد. همه‌ی این موارد با اهمیت دادن بیشتر به یکدیگر در جامعه فراهم خواهند شد.

تجربه‌ی نظارت بر یکدیگر 

ما انسان‌ها به‌جای تلاش برای زندگی اجتماعی‌تر، به سمت نظارت بر یکدیگر پیش رفتیم. به‌عنوان مثال ما با استفاده از دوربین‌های نظارتی توانایی خود در تشخیص گروه «دیگران» در جامعه را افزایش دادیم. با ارزان‌تر شدن دوربین‌های نظارت تصویری، انواع گوناگونی از کسب‌وکارها با استفاده از محصولات و ابزارهای جدید، ظرفیت‌های خود را در حوزه‌ی نظارت افزایش دادند و با اضافه کردن دوربین‌های متعدد در فروشگاه‌ها و مراکز فیزیکی، تمام تلاش خود را برای جلوگیری از دزدی و خشونت به کار گرفتند.

دوربین مداربسته / CCTV Camera

امروزه نیروهای حفاظتی در دفاتر و سازمان‌های گوناگون درکنار مشاهده‌ی مردم از نزدیک، با دقت به نمایشگرهای دوربین‌های نظارتی نگاه می‌کنند. حتی برخی اوقات دوربین‌ها به‌صورت کامل جایگزین نظارت از نزدیک شده‌اند. به‌مرور زمان، دوربین‌ها پیشرفته‌تر شدند و برخی از آن‌ها جای نیروهای انسانی را در نظارت گرفتند. در چنین روندی، نیاز به نظارت ویدئویی نقش بازدارنده‌ی روانی را برای ما ایفا کرد و شاید حتی به ابزاری الزامی تبدیل شد.

با نگاهی به روندهای بالا به این نتیجه می‌رسیم که رفتارها و حرکت‌های همه‌ی ما از مدت‌ها پیش ضبط شده است. منتهی ما اطلاع نداشتیم که چه کسی تصاویر ضبط‌شده را مشاهده می‌کند و آیا آن‌ها عملکردی مبتنی بر ویدئوهای نظارت تصویری در قبال ما خواهند داشت؟

با کوچک‌تر  و ارزان‌تر شدن دوربین‌های نظارتی، نفوذ آن‌ها به زندگی مردم بیشتر شد. درنتیجه کاربران عادی به این نتیجه رسیدند که از فناوری نظارت نیز در زندگی روزمره‌ی خود استفاده کنند. در ادامه‌ی مسیر، دوربین‌ها به اکثر محصولات افراد ما نفوذ کردند و به‌نوعی عضوی عادی در زندگی همه شدند. درنهایت، نظارت عملکردی مشترک بین دولت‌ها، سازمان‌ها و هریک از ما شد که گوشی هوشمند مجهز به دوربین یا دوربین فیلم‌برداری با خود حمل می‌کنیم.

دوربین‌های موجود در خانه‌ها، برخلاف نظارت‌های عمومی موجود در جوامع، به‌عنوان ابزارهایی مفید دربرابر تهدید «دیگران» شناخته می‌شوند. خانه‌ها فضاهایی محدود هستند و هرگونه فعالیت و فرایند غیرعادی در آن‌ها به‌راحتی توسط مالک خانه یا سیستم هوشمند شناسایی می‌شود. مالکان خانه‌ها، خصوصا انواع گران‌قیمت آن‌ها، حساسیت بالایی روی دارایی‌های خود دارند و حتی از سرویس‌های جانبی درکنار دوربین‌های نظارتی استفاده می‌کنند. برخی از آن‌ها حتی با شرکت‌های امنیتی قرارداد امضا می‌کنند تا حداکثر اطمینان را از امنیت نهایی دارایی‌های خود داشته باشند.

نظارت بر کارگران

نظارت همه‌گانی و در همه‌ی بخش‌های جامعه، برخلاف نظارت تصویری در خانه آسان نیست. دوربین‌های بی‌شماری که در شهرها نصب می‌شوند، حجم زیادی از ویدئو را تولید می‌کنند که پردازش آن‌ها مشکل قابل‌توجهی خواهد بود. تعداد دوربین‌ها و حجم اطلاعات آن‌ها به‌قدری زیاد است که افراد یا منابع کافی برای مشاهده و پردازش و درک آن‌ها وجود ندارد. در چنین وضعیتی وقتی حتی جرمی صورت بگیرد، مجرمان ساعت‌ها یا روزها پس از وقوع جرم شناسایی می‌شوند، چرا که مشاهده و بررسی ویدئوی دوربین‌های نظارتی عموما زمان زیادی طلب می‌کند.

ابزارهای نظارت تصویری ارزان‌تر از همیشه در دسترس مردم هستند

حتی اگر روشی برای پردازش بهینه‌ی ویدئوها و تشخیص دقیق‌تر فرد یا وسیله‌ی نقلیه‌ی مجرم کشف شود، منابع کافی از اطلاعات مناسب در دست نیست. درواقع بسیاری از سیستم‌های نظارتی اطلاعات مفید مورد نیاز برای تشخیص مجرمان را ارائه نمی‌دهند و شاید داده‌های آن‌ها درنهایت بی‌فایده باشد.

وقتی یک فناوری، نتایج مورد نیاز را ارائه ندهد، عموما نوآوری‌هایی تکراری در آن لحاظ می‌‌شود که به بهینه‌سازی شهرت دارند. شاید همین روند برای دوربین‌های نظارتی کنونی نیز در حال رخ دادن باشد. به‌عنوان مثال، مقامات متعدد در سرتاسر جهان، سیاست نصب دوربین‌های نظارتی روی لباس‌ افسران پلیس را اجرا کرده‌اند. یکی از دلایل اجرای این طرح، شاید قانون‌مندتر کردن شهروندان و خود پلیس‌ها باشد. کاربرد دیگر، شاید در آینده‌ی نزدیک پیاده شود و همین دوربین‌ها نظارت زنده را انجام دهند.

رویکرد بالا در نصب دوربین‌های لباسی، نقاط ضعف خاص خود را دارد. هنوز قانون‌گذاری مشخصی برای استفاده از دوربین‌ها وجود ندارد. به‌علاوه بسیاری از مراکز پلیس،‌ با چالش ذخیره‌سازی و پردازش حجم بالای داده‌های ضبط‌شده روبه‌رو هستند. درنتیجه بسیاری اعتقاد دارند برای حل چالش‌های نظارت و شناسایی مجرمان به‌جای استفاده از فناوری‌های جدید، باید سیاست‌های پلیس و ارتباط آن‌ها در جامعه را بهبود داد.

نظارت / Surveillance

نسل بعد فناوری نظارت تصویری

نتیجه‌ی اولیه‌ی تلاش‌های بی‌شمار برای بهبود سیستم‌های نظارت تصویری این است که امروز دوربین‌های نظارتی بی‌شماری داریم که هرکدام به دلایل گوناگون کارایی لازم را ندارند. به‌علاوه با وجود پایین بودن کارایی، امروزه در حوزه‌های متنوعی از آن‌ها استفاده می‌کنیم و از فروشگاه‌ها و خانه‌ها تا بسیاری مناطق دیگر، از دوربین‌ها بهره می‌بریم.

در موقعیت نامناسب کنونی که نیاز به دخالت بیشتر نیروی انسانی دارد، جست‌وجو برای راهکارهای بهینه افزایش می‌یابد. افراد و سازمان‌ها تلاش می‌کنند تا راهکاری سریع و ارزان توسعه دهند که به کمک فناوری‌های قبلی بیاید. آن‌ها دقت نمی‌کنند که قابلیت‌های جدید و افزودنی به فناوری‌های قبلی شاید نتایج متفاوتی با انتظارات آن‌ها داشته باشند. درنتیجه‌ی همین روند، تشخیص چهره به‌عنوان نوشدارویی برای نظارت تصویری معرفی می‌شود.

تشخیص چهره هیچ‌گاه به دقت و زیبایی فیلم‌های علمی‌تخیلی نیست

رسانه‌ها نقشی اساسی در پیاده‌سازی فناوری‌های جدید داشته‌اند. در فیلم‌های علمی‌تخیلی، فناوری تشخیص چهره با دقت بالایی عمل می‌کند. در فیلم‌ها، پلیس‌های قهرمانی را می‌بینیم که با استفاده از تشخیص چهره به‌راحتی مجرمان را شناسایی می‌کنند. چنین نتایجی قطعا غیرواقعی هستند. پلیس‌های فیلم‌ها در دنیایی خیالی زندگی می‌کنند که هیچ‌گاه جزئیات جوامع زنده و پویا با ایده‌ها و نظرات گوناگون را ندارند.

آنچه که در فیلم‌ها به‌عنوان زیبایی و قدرت فناوری نمایش داده می‌شود، نقش مهمی در توسعه‌ی فناوری‌های جدید دارد. فعالان دنیای فناوری از همین تصاویر به‌عنوان الگویی برای ساخته‌های بعدی خود استفاده می‌کنند. به‌علاوه مقامات با دیدن همین دستاوردهای خیالی ادعای ارائه‌ی به‌روزترین و برترین فناوری‌ها را دارند و با همین ادعا، بودجه‌های مورد نظر خود را دریافت می‌کنند.

فعالان دنیای فناوری شاید نگرانی یا آشنایی در ارتباط با نتایج دستاوردهای خود در جامعه نداشته باشند. درمقابل، مقامات دولتی قرار دارند که احتمالا نتایج و عواقب فناوری‌های جدید را با هدف فراهم کردن زمینه‌ای برای آزمایش‌های شرکت‌های فناوری نادیده می‌گیرند یا درکی از عواقب تصمیمات خود ندارند.

تشخیص چهره

تشخیص چهره در نگاه اول ادعای شناسایی و دستگیری سریع و آسان مجرمان را دارد؛ همان روندی که در فیلم‌ها نمایش داده می‌شود و هیچ خبری هم از فرایندهای دشواری همچون شناسایی بهتر رفتارهای مردم و جامعه در آن نیست. ازطرفی برای پلیس، سروکار داشتن با نرم‌افزار راحت‌‌تر از مقابله‌ و رویارویی مستقیم با مجرمان احتمالی خواهد بود. درواقع آن‌ها برای راحتی خود به‌جای بازجویی‌های مستقیم و بررسی شواهد مبنی بر مجرم بودن یا نبودن افراد، به تشخیص‌‌های نرم‌افزاری تکیه می‌کنند. درنتیجه‌ی چنین اقداماتی، شبکه‌ی درهم‌تنیده از دوربین‌های نظارتی که شاید قابلیت تشخیص چهره هم داشته باشند، به‌جای شناخت بهتر از جامعه و رفتارهای مردم استفاده می‌شوند.

داده‌های جمع‌آوری‌شده از دوربین‌ها نمی‌توانند جای شناسایی شخصیت مردم را بگیرند

داده‌های حاصل از فرایند تشخیص چهره هیچ‌گاه نمی‌تواند جایگزینی دقیق برای دانش از جامعه و رفتارهای مردم باشد؛ چرا که همیشه احتمال تفسیر و برداشت غلط از آن وجود دارد. به‌علاوه فناوری مذکور روندی برابر برای همه‌ی مردم با همه‌ی نژادها و جنسیت‌ها ندارد. تاکنون اخبار متعددی از برداشت‌های غلط و تفسیرهای متعصبانه‌ی هوش مصنوعی در شناسایی مجرمان منتشر شده است.

تحقیقی خبرساز از دانشگاه MIT در سال گذشته ادعا کرد که سه سیستم مشهور تشخیص چهره، در شناسایی غلط مردان سفیدپوست تنها ۰/۸ درصد خطا داشت، درحالی‌که این نرخ برای زنان سیاه‌پوست به ۳۴/۷ درصد می‌رسد. درنتیجه‌ی همین تحقیقات می‌توان پیش‌بینی کرد که پیاده‌سازی تشخیص چهره برای شناسایی مجرمان می‌تواند عواقب نگران‌کننده‌ای داشته باشد.

از تشخیص چهره تا تشکیل پروفایل

نرم‌افزارهای تشخص چهره، دستاوردهایی نوآورانه برای دوربین‌های نظارتی بودند تا مشکلات اجتماعی را حل کنند. ازطرفی تنها انسان‌ها و نه فناوری، می‌توانند چالش‌های موجود در میان خود را حل کنند. البته مردم برای راحت‌تر کردن کارهای خود از فناوری برای حل چالش‌ها استفاده می‌کنند و در همین رویکرد، مشکلات متعددی پیش می‌آید. درواقع مردم باید از خود بپرسند که کدام فناوری‌‌ها برای تشکیل جامعه‌ای سالم مفید هستند و کدام‌یک نباید به‌کار گرفته شوند؟

نظارت تصویری

پاسخ به سؤال‌های بالا و انتخاب فناوری‌هایی که به حل چالش‌ها کمک می‌کنند، امروزه بدون مشورت و ورودی اطلاعاتی از سمت مردم، توسط دولت‌ها و سازمان‌های بزرگ انجام می‌شود. امروزه ابزارهای تشخیص چهره که به‌راحتی و با هزینه‌های پایین در دسترس هستند، بدون هیچ‌گونه تنظیم مقررات مشخص استفاده می‌شوند. همین استفاده‌ی بدون قانون‌گذاری و بدون شفافیت، نگرانی‌های زیادی را در میان مردم ایجاد می‌کند.

مقاله‌های مرتبط:

وقتی فناوری‌های تشخیص چهره شرکت‌هایی همچون آمازون به‌صورت گسترده توسط دولت‌ها و سازمان‌ها مورد استفاده قرار بگیرد و مردم هم به‌عنوان موضوعات آزمایش در آن‌ها حضور داشته باشند، باید منتظر ظهور فناوری‌های بعدی هم باشیم. فناوری بعدی هوش مصنوعی خواهد بود که با تکیه بر داده‌های تشخیص چهره می‌تواند نتیجه‌گیری‌‌هایی را پیرامون رفتارها و اخلاقیات مردم انجام دهد. درحال‌‌حاضر چینی‌ها پیش‌گام این کاربرد فناوری هستند و در سطوح گسترده خصوصا برای نظارت بر جامعه‌ی مسلمان ۱۱ میلیون نفری در کشورشان، از پروفایل‌سازی بر مبنای تشحیص چهره استفاده می‌کنند.

نیویورک تایمز اخیرا در مقاله‌ای جامع به بررسی استفاده از هوش مصنوعی و تشخیص چهره در چین پرداخته است. در بخش‌هایی از مقاله می‌خوانیم:

فناوری تشخیص چهره که به‌سرعت در شبکه‌ی بزرگ دوربین‌های نظارت تصویری چین پیاده می‌شود، به‌صورت اختصاصی اویغورها (اقلیت مسلمان چین) را مورد مطالعه قرار می‌دهد و همچنین رفت‌وآمدها و حضور آن‌ها را کنترل می‌کند. چنین رویکردی چین را به‌ پیش‌گام نسل بعدی فناوری با هدف نظارت بر مردم تبدیل خواهد کرد؛ روندی که شاید به نژادپرستی خودکار در جوامع منجر شود.

مقامات و شرکت‌های چینی با استفاده از فناوری تشخیص چهره و هوش مصنوعی متصل به آن، مظنون‌های ارتکاب به جرم را در رویدادهای عمومی بزرگ شناسایی می‌کنند. به‌علاوه در موقعیت‌های خاص دیگر نیز از فناوری استفاده می‌شود که می‌توان به شناسایی افراد در هتل‌ها و فرودگاه‌ها و حتی تبلیغات هدف‌مند اشاره کرد. آمریکا نیز در پیاده‌سازی فناوری تشخیص چهره دست‌کمی از چین ندارد. آن‌ها نیز در مراکز امنیتی مرزها خود و همچنین با هدف نمایش تبلیغات هدف‌مند از تشخیص چهره استفاده می‌کنند.

نظارت تصویری

شاید ما در دوران گذار قرار داریم. شاید فناوری‌های جدید به‌مرور به زندگی‌های ما نفوذ می‌کنند تا علاوه‌بر گسترش مرزهای علم و فناوری، مفاهیم اجتماعی را نیز تغییر دهند. به‌عنوان مثال وقتی افراد هر جا که بروند به‌راحتی تشخیص داده شوند، همین تشخیص مانند فناوری‌ها و داده‌های قدیمی دیگر، منجر به ساخت پروفایل از شخصیت آن‌ها می‌شود. با ایجاد پروفایل این تصور ایجاد می‌شود که می‌توان رفتارهای انسان‌ها را با استفاده از الگوریتم، پیش‌بینی کرد. در مرحله‌ی بعد، الگوریتم‌ها جای شخصیت واقعی افراد را در همه‌جا می‌گیرند و شاید درنهایت تشخیص‌‌ها آن‌ها دقیق‌تر از اطلاعاتی باشد که مردم از خودشان و اطرافیان دارند.

قدم خطرناک بعدی، تصمیم‌گیری بر پایه‌ی اطلاعات تشخیص چهره است

همکاری در جامعه زمانی ایجاد می‌شود که افراد هر کدام سهم خود را در آن بپردازند. اگرچه مردم برخی اوقات امتیازهایی شخصی را اهدا می‌کنند تا نتایج مورد نظر خود را به دست بیاورند، چنین رویکردی همیشگی نیست. اگر ما همیشه مجبور به اهدای بخشی از هویت و شخصیت خود باشیم، به مراحلی از بردگی وارد شده‌ایم. از دست دادن هویت واقعی به قیمت شناسایی بهتر توسط الگوریتم‌ها، به‌نوعی حق انتخاب را از مردم می‌گیرد. درنتیجه دیگر نمی‌توانیم چگونگی شناخته شدن خود یا حتی محصولاتی که به ما پیشنهاد می‌شود را انتخاب کنیم. چنین روندی قطعا شبیه به همکاری اجتماعی مفید برای همگان، نخواهد بود.

باتوجه‌به سناریوی بالا می‌توان نتیجه‌گیری کرد که کاربرد هوش مصنوعی در ترکیب با تشخیص چهره که با هدف راحتی سازمان‌ها و دولت‌ها انجام می‌شود، نتایج نگران‌کننده‌ای خواهد داشت. این نوع از فناوری نوآورانه، پیشرفتی خطرناک در حوزه‌ی نظارت تصویری است؛ چرا که مردم را مجبور می‌کند تا باز هم بیشتر از دارایی‌های شخصی و شخصیتی خود خرج کنند.

تلاش‌های با هدف ممنوعیت کامل استفاده از نرم‌افزارها تاکنون با مقاومت شدید روبه‌رو شده‌اند. قانون‌گداران و شرکت‌هایی همچون مایکروسافت تاکنون تلاش‌های زیادی برای توسعه‌ی تنظیم مقررات در این حوزه‌ها انجام داده‌اند. از میان آن‌ها می‌توان به لزوم اطلاع‌رسانی در زمان استفاده از ابزارهای نظارت تصویری در مکان‌های عمومی اشاره کرد. البته چنین قانون‌‌گذاری هیچ قدرت تصمیم‌گیری را به مردم ارائه نمی‌کند. درواقع آن‌ها به‌ جز ترک مکان‌های مجهز به دوربین‌های نظارتی، هیچ انتخاب دیگری ندارند.

نظارت / Surveillance

به‌خاطر عدم کاربردپذیری قوانین موجود، لزوم تصویب قوانین جدید برای محدودسازی تشحیص چهره بیش‌ازپیش احساس می‌شود. ما اکنون در مرحله‌ای مهم از توسعه‌ی فناوری قرار داریم و قانون‌گذاری باید هرچه سریع‌تر در همین مراحل انجام شود. در صورت عدم تنظیم مقررات در زمان توسعه‌ی فناوری‌ها، شاید آینده و پس از به‌کارگیری گسترده‌ی آن‌ها، دیگر نتوان مانعی برای کاربردهای ناصحیح آن‌ها ایجاد کرد.

وقتی تشخیص چهره و دیگر کاربردهای هوش مصنوعی فراگیر شوند و قوانینی هم برای محدودسازی آن‌ها وجود نداشته باشد، مردم دیگر بدون دفاع خواهند بود. بدین ترتیب دولت‌ها و شرکت‌ها به‌راحتی می‌توانند از اطلاعات و هویت آن‌ها با هر هدفی که تمایل داشته باشند، استفاده کنند. در چنین مرحله‌ای طمع، سود و قدرت به انگیزه‌های اصلی استفاده از فناوری تبدیل می‌شوند.

اگر با رجوع به غریزه‌های خود قصد داریم تا «دیگران» خطرناک را در جامعه شناسایی کنیم، شاید بتوان شرکت‌ها و افرادی که از چهره و هویت ما سوءاستفاده می‌کنند را در دسته‌ی «دیگران» قرار داد. افرادی که نه‌تنها سوددهی مالی، بلکه دسته‌بندی و کنترل اجتماعی را نیز با سوءاستفاده از همین اطلاعات انجام می‌دهند. به‌هرحال چنین رویکردی نیاز به نگرانی و اهمیت دادن بیشتر از سوی مردم دارد تا شاید قانون‌گذاران را به کنترل بیشتر روی توسعه‌ی فناوری علاقه‌مند کند.

گوگل قوانین جدید حفظ حریم خصوصی را برای افزونه‌های کروم اعلام کرد

گوگل به‌تازگی با هدف حفظ بیشتر حریم خصوصی کاربران دو قانون جدید به توسعه‌دهندگان افزونه‌های مرورگر کروم ابلاغ کرده است. از تابستان امسال، توسعه‌دهندگان افزونه‌های کروم ملزم هستند فقط به داده‌هایی دسترسی داشته باشند که برای اجرای ویژگی‌های مدنظر خود به آن نیاز دارند.

علاوه‌بر‌این، گوگل قصد دارد تعداد بیشتری از توسعه‌دهندگان افزونه‌های کروم را به رعایت این قانون جدید ملزم کند. همچنین، این غول دنیای جست‌وجو از تغییرات صورت‌گرفته در‌زمینه‌ی استفاده‌ی توسعه‌دهندگان شخص ثالث از رابط برنامه‌نویسی گوگل‌درایو به‌منظور ارائه‌ی دسترسی کاربران به اطلاعات ذخیره‌شده خود سخن به‌میان آورده است.

موارد مذکور همگی بخشی از پروژه‌ی استروب گوگل است که تلاش این شرکت برای بازنگری و تجدیدنظر در نحوه‌ی دسترسی توسعه‌دهندگان به اطلاعات موجود در حساب کاربری گوگل یا گوشی‌های هوشمند اندرویدی کاربران را به‌همراه داشت. به‌عنوان مثال، گوگل به‌وسیله‌ی پروژه‌ی استروب توانست مشکلات رابط نرم‌افزاری شبکه‌ی اجتماعی گوگل‌پلاس را کشف کند و پایان‌یافتن فعالیت این شبکه‌ی اجتماعی را سرعت بخشد.

بن اسمیت، همکار و معاون مهندسی گوگل، در یادداشتی در این رونمایی می‌نویسد:

برنامه‌های شخص ثالث و وب‌‌سایت‌ها سرویس‌هایی ایجاد می‌کنند که میلیون‌ها نفر در سراسر جهان از آن‌ها استفاده می‌کنند تا کارهای خود را به‌سادگی انجام دهند و تجربه‌ی آنلاین خود را دگرگون سازند. برای به‌موفقیت‌رساندن این اکوسیستم، کاربران باید اطمینان داشته باشند داده‌هایشان در امنیت کامل هستند و توسعه‌دهندگان نیز به قوانین روشن و واضحی در مسیر توسعه‌ی خود نیاز دارند.

با انتشار این اطلاعیه‌ها، گوگل قصد دارد این قوانین و قواعد جدید را به‌منظور اجرا مهیا سازد. این مسئله برای توسعه‌دهندگان افزونه‌های کروم، به این معنا است که اگر آن‌ها برای انجام یا پیاده‌سازی ویژگی‌های مدنظر خود به دسترسی‌های مختلف و چندگانه‌ای نیاز داشتند، باید به حداقل میزان اطلاعات کاربران دسترسی داشته باشند. آنچه در گذشته این شرکت توصیه کرده، اکنون به الزام تبدیل شده است.

مقاله‌های مرتبط:

نکته‌ی جالب ماجرا این است که تا پیش‌ازاین، تنها توسعه‌دهندگانی که افزونه‌های مبتنی‌بر اطلاعات کاربر توسعه می‌دادند، باید سیاست‌های حفظ حریم خصوصی کاربران خود را به‌شکل شفاف اعلام می‌کردند. حال این الزامات شامل افزونه‌هایی خواهد بود که هرگونه محتوا یا اطلاعات ارائه‌شده‌ی کاربر یا هرگونه ارتباطات شخصی را اداره می‌کنند.

اسمیت درادامه افزود:

البته، افزونه‌ها باید همچنان به شفافیت کار خود درباره‌ی این موضوع ادامه دهند که چگونه اطلاعات کاربران را جمع‌آوری و اداره و استفاده می‌کنند و حتی این اطلاعات را چگونه و در کجا به‌اشتراک‌ می‌گذارند.

همان‌گونه که درزمینه‌ی رابط برنامه‌نویسی گوگل‌درایو، این شرکت اساسا برای سرویس خود درمقایسه‌با قبل محدودیت‌هایی به‌منظور دسترسی اشخاص شخص ثالث اعمال کرده که فقط به برخی از فایل‌های خاص محدود شده است. برنامه‌هایی که دسترسی‌های گسترده‌تر دارند، ازجمله سرویس‌های پشتیبان، باید خودِ گوگل تأیید کند. گفتنی است تغیرات ذکرشده تا سال آینده در رابط برنامه‌نویسی گوگل‌درایو اعمال نخواهند شد.

باتوجه‌به مشکلات گفته‌شده که پیش روی شرکت‌های بزرگی همچون گوگل قرار گرفته و حساسیت‌های بسیاری که موضوع حریم خصوصی کاربران با خود به‌همراه دارد، فکر می‌کنید این شرکت آمریکایی خواهد توانست نیاز امنیت کاربران پلتفرم و اکوسیستم خود را بیش‌ازپیش مهیا سازد یا آنکه بهبود بخشد؟ دیدگاه‌های خود را با ما در میان بگذارید.

گوگل، واتساپ و اپل به درخواست استراق سمع GCHQ اعتراض کردند

گروهی متشکل از ۴۷ شرکت ازجمله اپل، گوگل، مایکروسافت و واتساپ به‌صورت رسمی اعتراض خود را نسبت به درخواست استراق سمع از سوی یک آژانس اطلاعاتی بریتانیایی به‌نام GCHQ بیان کردند. آن‌ها نامه‌ای سرگشاده در Lawfare منتشر کردند که در آن به اثرات درخواست آژانس بریتانیایی پرداخته شد. از نگاه شرکت‌های مذکور، برنامه‌ریزی برای استراق سمع منجر به از بین رفتن امنیت می‌شود و اعتماد به سرویس‌های پیام‌رسانی رمزنگاری شده را از بین می‌برد. درنتیجه‌ی چنین اقدامانی، حقوق شهروندی در حریم خصوصی و گردش آزادانه‌ی اطلاعات مخدوش خواهد شد.

مقاله‌های مرتبط:

تقاضای آژانس GCHQ ماه نوامبر گذشته منتشر شد. البته این درخواست در قالب چند مقاله بود و هیچ الزام قانونی در پی آن ارائه نمی‌شد. در مقاله‌های مذکور، دو افسر سابق آژانس اطلاعاتی بریتانیا پیشنهاد داده بودند که قانون باید باید شرکت‌ها را مجبور به اضافه کردن کاربری مخفی (روح) به پیام‌‌های رمزنگاری شده بکند. 

در تشریح درخواست مقاله‌ی بالا به این نتیجه می‌رسیم که آن‌ها می‌خواسته‌اند آژانس‌های اطلاعاتی هم نسخه‌ای از پیام‌های کاربران دریافت کنند. این ارسال پیام نیز بدون اطلاع طرفین اصلی مکالمه‌ها انجام می‌شود. مولفان مقاله اعتقاد داشتند استراق سمع پیام‌های رمزنگاری‌شده تفاوت زیادی با روش‌های کنونی استراق سمع در پیام‌های عادی ندارد.

روش پیشنهادی افسران امنیتی، نیاز به در پشتی را برای مطالعه‌ی پروتکل‌های رمزنگاری از بین می‌برد. شرکت‌های امضاکننده‌ی نامه اعتقاد دارند با این روش اعتماد و امنیت کاربران به‌صورت جدی خدشه‌دار خواهد شد. آن‌ها اعتقاد دارند برای پیاده‌سازی پیشنهاد مذکور، باید روش رمزنگاری اپلیکیشن‌های پیام‌رسان تغییر کند. به‌علاوه با مخفی کردن افراد حاضر در گفت‌وگو، اطلاعات غلط به کاربران اصلی داده می‌شود.

یان لوی یکی از نویسنده‌های مقاله‌ی اصلی در پاسخ به نامه‌ی سرگشاده‌ی شرکت‌ها می‌گوید درخواست مطرح‌شده در مقاله، بیشتر حالتی فرضیه‌ای داشت و به‌عنوان نقطه‌ای برای شروع بحث و تبادل نظر مطرح شد. لوی در مصاحبه‌ای با CNBC گفت:

ما به همکاری خود با شرکت‌های علاقه‌مند ادامه می‌دهیم تا با بحث و تبادل نظری مفید، برای رسیدن به بهترین راهکار تلاش کنیم.

اپل می‌خواهد دکمه ورودش به اپلیکیشن‌ها بالاتر از سایر گزینه‌ها باشد

استفاده از گزینه‌ ورود با اپل در بالاترین قسمت ورود به اپلیکیشن‌ها، اقدامی مشخص برای بهبود جایگاه کوپرتینویی‌ها محسوب می‌شود؛ زیرا اکثر کاربران برای ورود به سرویس‌های مختلف معمولا گزینه‌ی اول یا گزینه‌ی پیش‌فرض را انتخاب می‌کنند. حال بنابه گزارش رویترز، اپل درخواست کرده است که اگر در اپلیکیشن‌ها از دکمه‌ی ورود با گوگل یا ورود با فیسبوک استفاده شده، دکمه‌ی ورود با اپل در بالای این دو قرار داده شود.

اپل دکمه‌ی ورود مخصوص خود را روز دوشنبه معرفی و در توضیح آن به حریم خصوصی کاربران اشاره کرد. علاوه‌براین اپل ویژگی دیگری برای دکمه‌ی ورود خود معرفی کرد که عبارت است از ایجاد یک آدرس ایمیل به‌صورت کاملا تصادفی تا بدین ترتیب آدرس ایمیل اصلی کاربر لو نرود. بسیاری از کاربران هم‌اکنون ترجیح می‌دهند با استفاده از حساب‌های کاربری گوگل یا فیسبوک خود به سرویس‌های مستقل دیگر وارد شوند. این اقدام باعث می‌شود نیازی به یادآوری اطلاعات مخصوص حساب کاربری برای هر سرویس نباشد و از نام کاربری و رمزعبور مخصوصی برای اپلیکیشن‌های مختلف استفاده نشود.

البته این احتمال وجود دارد که دکمه‌های ورود با گوگل یا ورود با فیسبوک، یک‌سری اطلاعات را در مورد شیوه استفاده کاربر از اپلیکیشن به سازندگان ارسال کند. کریگ فدریگی، مدیر بخش نرم‌افزار اپل روز دوشنبه در نطق اصلی اپل در WWDC اعلام کرد که شرکت متبوعش به‌دنبال ارائه‌ی یک گزینه‌ی امن‌تر به کاربران و توسعه‌دهندگان است. به‌گفته‌ی فدریگی، اپل قصد دارد روش ورود یک مرحله‌ای و سریعی ارائه دهد که در آن، اطلاعات کاربر برای دیگر شرکت‌ها ارسال نشود.

اپل در بخش توضیحات راهنمای جدید منتشرشده در بخش بازبینی اپ‌استور، در مورد دکمه‌ی ورود جدید خود این‌گونه توضیح داده است:

این دکمه به‌عنوان یک گزینه در اختیار کاربران قرار خواهد گرفت تا با استفاده از آن بتوانند در اپلیکیشن‌هایی که از این سرویس پشتیبانی می‌کنند، لاگین کنند. سرویس یادشده در اواخر سال میلادی جاری به‌صورت عمومی در دسترس قرار خواهد گرفت.

ورود با اپل آیدی / sign in with apple

باتوجه‌به راهنمای منتشرشده توسط اپل، به‌نظر نمی‌رسد این شرکت اپلیکیشن‌هایی که سیستم ورود مخصوص به خود را دارند، به استفاده از سیستم ورود اپل مجبور کند. به‌عنوان مثال، اپلیکیشن‌های توسعه‌داده‌شده توسط شرکت بازی‌سازی معروف نینتندو از دکمه‌های ورود سرویس‌های شخص ثالث از جمله گوگل و فیسبوک استفاده نکرده است. دکمه‌ی ورود اپل در وب‌سایت‌ها نیز قابل استفاده است. البته استفاده از این روش اجباری نیست زیرا نقش اپل در در وب‌سایت‌های مختلف همانند نقش این شرکت در اپلیکیشن‌های منتشرشده در اپ‌استور نیست. البته براساس راهنمای اپل، این شرکت از دارندگان وب‌سایت‌ها نیز درخواست کرده تا دکمه‌ی ورود اپل را در بالای دکمه‌های دیگر از جمله ورود با گوگل و ورود با فیسبوک قرار دهند.

اپل از بیان هرگونه اظهارنظر دیگر در مورد سیستم ورود جدیدش خودداری کرده است. فیسبوک و گوگل نیز از بیان نظر خود در مورد اقدام اخیر اپل خودداری کرده‌اند. البته گوگل اعلام کرده که این شرکت استفاده از سیستم ورود خود را برای اپلیکیشن‌های موجود در پلی‌استور و دستگاه‌های اندرویدی اجباری نکرده است.

پیشنهاد ارائه‌شده توسط اپل برای قرار دادن دکمه‌ی ورود این شرکت در اپلیکیشن‌ها و وب‌سایت‌ها به‌عنوان بخشی از «راهنمای رابط‌ کاربری» این شرکت مطرح شده و به‌همین دلیل استفاده از این روش برای تأیید اپلیکیشن‌ها در فروشگاه اپ‌استور الزامی نیست. البته بسیاری از توسعه‌دهندگان معتقد هستند که استفاده از دکمه‌ی ورود اپل می‌تواند در تأیید شدن اپلیکیشن‌ها برای انتشار در فروشگاه اپ‌استور تاثیر قابل‌توجهی داشته باشد.

بنابه گزارش رویترز، برخی از رگولاتوری‌های آمریکا نیز به‌دنبال بررسی نقض احتمالی قوانین ضد انحصار (آنتی تراست) توسط اپل و سایر شرکت‌های مطرح حوزه‌ی فناوری هستند. تیم کوک، مدیرعامل اپل در مصاحبه‌ با شبکه‌ی CBS که روز سه‌شنبه روی آنتن رفت، اعلام کرد باتوجه‌به بزرگ بودن شرکت، تحقیق در مورد آن توسط رگولاتوری‌ها منطقی به‌نظر می‌رسد، اما این شرکت در هیچ‌یک از بازارهایی که در آن‌ها فعالیت دارد، انحصارگرایی نکرده است.

گوگل نصب Backdoor در گوشی‌های اندرویدی برخی کارخانه‌ها را تأیید کرد

پژوهشگران گوگل روز پنج‌شنبه تأیید کردند مهاجمان موفق شده بودند سال ۲۰۱۷، در پشتی (Backdoor) پیشرفته‌ای به‌صورت پیش‌فرض روی دستگاه‌های اندرویدی نصب کنند. این اتفاق در یکی از مراحل تولید رخ می‌داد؛ زمانی‌که دستگاه‌ها هنوز از خط‌تولید کارخانه‌ها بیرون نیامده بودند. در سال ۲۰۱۶، در مقاله‌ای که اولین‌بار در کسپرسکی (Kaspersky) منتشر شد، از ترایادا (Triada) نام برده و گفته شد این بدافزار یکی از پیشرفته‌ترین تروجان‌های موبایلی است که تحلیلگران این شرکت فعال در حوزه‌ی امنیت تا‌به‌حال به آن برخورد کرده‌اند.

هدف اصلی مهاجمان از نصب ترایادا، نصب برنامه‌هایی بود که بتوان از آن‌ها برای ارسال هرزنامه‌ها و نمایش آگهی‌های تبلیغاتی استفاده کرد. این بدافزار از روش بسیار پیچیده‌تری استفاده می‌کند و در‌این‌زمینه، از کیت گسترده‌ای شامل ابزارهای مختلف بهره می‌برد. این ابزارها اکسپلویت‌های روت‌کننده‌ای دربر دارد با قابلیت دورزدن روش‌های امنیتی پیش‌فرض اندروید و نیز ابزاری برای دست‌کاری فرایندهای قدرتمند زایگوت (Zygote) در سیستم‌عامل اندروید؛ یعنی بدافزارها می‌توانند به‌صورت مستقیم هر اپلیکیشن نصب‌شده‌ای را دست‌کاری کنند. ترایادا حداقل به ۱۷ سرور فرماندهی و کنترل (C&C Server) متصل بود.

مقاله‌های مرتبط:

ژوئیه‌ی۲۰۱۷، Dr. Web گزارش داد پژوهشگران این شرکت فعال در حوزه‌ی مسائل امنیتی آسیب‌پذیری جدیدی به‌نام ترایادا کشف کرده‌اند که به‌صورت پیش‌فرض در فرم‌ورهای چندین مدل از دستگاه‌های اندرویدی نصب شده‌اند. برخی از این مدل‌ها عبارت هستند از: لیگو ام 5 پلاس (Leagoo M5 Plus)، نامو اس 20 (Nomu S20)، لیگو ام 8 (Leagoo M8) و نامو اس 10 (Nomu S10). مهاجمان از این در پشتی برای دانلود و نصب مخفیانه‌ی ماژول‌های مختلف استفاده می‌کردند. طبق این گزارش، چون این آسیب‌پذیری در یکی از کتابخانه‌های سیستم‌عامل نصب و در بخش سیستم جای‌گذاری شده، نمی‌توان آن را با روش‌های معمول حذف کرد.

پس از دو سال سکوت، گوگل سرانجام روز پنج شنبه گزارش Dr. Web را تأیید و کارخانه‌ی مسئول این آلوده‌سازی را معرفی کرد. گوگل در این گزارش اعلام کرد کارخانه‌هایی که در آماده‌سازی فایل ایمیج نهایی از فرم‌ور استفاده‌شده در دستگاه‌های تحت‌تاثیر مشارکت کردند، در این حمله به زنجیره‌ی تأمین مقصر بودند. لوکاس سیویرسکی، یکی از اعضای تیم امنیت و حریم شخصی اندروید گوگل، دراین‌باره می‌گوید:

ترایادا ازطریق شخص ثالث و در طول فرایندهای تولید، ایمیج‌های سیستمی دستگاه‌ها (System Images) را آلوده می‌کرد. گاهی اتفاق می‌افتد تولیدکنندگان تجهیزات اصلی (OEM) بخواهند ویژگی‌هایی مانند تشخیص چهره را در محصولاتشان بگنجانند که بخشی از پروژه‌ی متن‌باز اندروید نیستند. این تولیدکنندگان برای این کار از اشخاص ثالثی کمک می‌گیرند تا بتوانند ویژگی‌هایی مدنظر را توسعه دهند و برای این کار، ایمیجی از کل سیستم را برای شرکت مرتبط ارسال می‌کردند.طبق این تجزیه‌و‌تحلیل، بر این باوریم که شرکتی به‌نام Yehuo یا Blazefire، ایمیج‌های بازگردانده‌شده را به ترایادا آلوده می‌کرد.

در پشتی گوگل / Google

فرایند تولید گوشی‌های همراه در کارخانه‌های آلوده به ترایادا با همکاری شخص ثالث

گزارشی که روز پنج‌شنبه منتشر شد، توضیحاتی درباره‌ی تجزیه‌وتحلیل‌های پیشین درزمینه‌ی ویژگی‌هایی را دربرمی‌گرفت که باعث پیچیدگی بیش‌ازحد ترایادا شده بود. به‌عنوان مثال، ترایادا از فایل‌های ZIP و XOR برای رمزنگاری ارتباطات استفاده یا کدها را وارد اپلیکیشن‌های رابط کاربری سیستم می‌کند تا اجازه‌ی نمایش به آگهی‌های تبلیغاتی را بدهد. همچنین، این آسیب‌پذیری کدهایی وارد سیستم می‌کند که امکان استفاده از گوگل‌پلی را برای دانلود و نصب برنامه‌های مدنظر مهاجم فراهم می‌کند.

سیویرسکی می‌نویسد:

برنامه‌ها از سرورهای C&C دانلود و روابط بین آن‌ها با سرورها ازطریق روال مشابه و استفاده از ZIP و XOR دوگانه رمزنگاری می‌شود. برنامه‌های دانلود و نصب‌شده از اسامی اپلیکیشن‌های غیرمشهور در گوگل‌پلی استفاده می‌کردند. به‌جز اسم مشابه، هیچ رابطه‌ی دیگری بین آن‌ها و اپلیکیشن‌های موجود در گوگل‌پلی وجود نداشت.

مایک کرامپ، پژوهشگر ارشد امنیتی در شرکت Zimperium، ارائه‌دهنده‌ی خدمات امنیتی برای تلفن‌های همراه، تأیید می‌کند ترایادا از قابلیت‌های پیشرفته‌ای برخوردار است. او می‌گوید:

باتوجه‌به اطلاعاتی که داریم، به‌نظر می‌رسد ترایادا قطعه‌ای نسبتا پیشرفته از بدافزاری باشد که قابلیت‌های C&C و نیز اجرای فرمان پوسته را دارد. ما ابزارهای تبلیغاتی زیادی دیده‌ایم؛ اما ترایادا با آن‌ها تفاوت دارد؛ چراکه از C&C و روش‌های دیگری استفاده می‌کند که آن‌ها را در بدافزارهای مخرب بیشتر شاهد هستیم. درست است درنهایت از همه‌ی این ابزارها برای نشان‌دادن آگهی‌های تبلیغاتی استفاده می‌شود؛ اما روش آن‌ها بسیار پیچیده‌تر از کارهای تبلیغاتی دیگر است. ترایادا خیلی بیشتر از ابزار تبلیغاتی است.

گوگل / google

سیویرسکی می‌گوید پس از عملکرد موفق گوگل برای مسدود‌کردن این آسیب‌پذیری، توسعه‌دهندگان ترایادا به حمله به زنجیره‌ی تأمین روی آوردند. یکی از اقدام‌های گوگل، جلوگیری از اجرای مکانیسم‌های روت بود و اقدام دیگر، تقویت روش‌های امنیتی در گوگل‌پلی تا شرکت بتواند ازراه‌دور گوشی‌های آلوده را پاک‌سازی کند. نسخه‌ی پیش‌فرض ترایادا که در سال ۲۰۱۷ شناسایی شد، امکان روت‌کردن دستگاه‌ها را نداشت و نسخه‌های جدیدتر آن به روش نامعلومی به‌شکل کد شخص ثالت برای ویژگی‌های درخواست‌شده‌ی تولیدکنندگان تجهیزات اصلی در ایمیج‌های سیستم گنجانده می‌شد. پس از این اتفاق، گوگل با همکاری تولیدکنندگان اقدام‌هایی کرد تا از حذف این برنامه‌ی مخرب از ایمیج‌های فرم‌ورها مطمئن شود.

ترایادا بدافزاری با قابلیت‌های C&C و اجرای فرمان پوسته است

سال گذشته، گوگل برنامه‌ای اجرا کرد که کارخانه‌ها را به ارائه‌ی ایمیج‌های جدید یا به‌روزشده از قطعه‌های تولیدشده‌ی خود برای انجام مجموعه آزمایشاتی روی آن‌ها ملزم کرد. مسئولان گوگل در گزارش «بررسی امنیت و حریم خصوصی اندروید در سال ۲۰۱۸» اعلام کردند:

یکی از این آزمایش‌های امنیتی برای اپلیکیشن‌های پیش‌فرض و احتمالا خطرناک، آزمایشی مربوط‌به ایمیج‌های سیستمی است. اگر چنین برنامه‌ای روی قطعه مشاهده کنیم، پیش از عرضه‌ی آن به کاربران، به‌همراه شریک تولیدکننده‌ی خود راه چاره‌ای خواهیم یافت و آن از روی قطعه حذف خواهیم کرد.

درعین‌حال، گزارش روز پنج شنبه تأیید می‌کند با وجود تشدید تمهیدات امنیتی گوگل در این حوزه، مطمئنا مهاجمان با سوء‌استفاده از ضعف‌های جدید بازهم دست‌به‌کار خواهند شد. سیویرسکی می‌گوید:

مثال ترایادا، مثالی مناسب از میزان مهارت سازندگان بدافزارهای اندرویدی است. همچنین، این موضوع نشان می‌دهد آلوده‌کردن دستگاه‌های اندرویدی هم سخت‌تر شده است؛ به‌ویژه اگر سازندگان بدافزارها به ارتقای سطح دسترسی‌ها نیاز داشته باشند.

Sign-in با اپل آیدی؛ محافظت از کاربران دربرابر توسعه‌دهندگان نه هکرها

اپل دوست دارد همه‌ نوع سرویسی به کاربرانش ارائه بدهد: موسیقی و مجله یا سریالی تلویزیونی درباره‌ی روس‌هایی که اولین‌بار گام به کره‌ی ماه گذاشتند. بااین‌حال با معرفی iOS13، این شرکت یکی از کلاسیک‌ترین ویژگی‌های خود را به سرویسی تمام‌عیار تبدیل کرد که همه‌چیز آن متعلق به خودش است.

در طی دو‌ونیم ساعت برگزاری رویداد WWDC، لحظات مهیجی خلق شد؛ ازجمله شوخی کریگ فدریگی درباره‌ی آی‌تونز، معرفی سیستم‌عامل جدید iPad OS و البته، معرفی مک پرو (Mac Pro) جدید. باوجوداین، موضوع مهم این رویداد موضوعی آشنا برای این روزهای کاربران است: حریم خصوصی. در چندین سال گذشته، اپل مصرانه روی این باور پافشاری کرده که دستگاه‌ها و اطلاعات کاربران باید دراختیار خودشان باشد و در رویداد امسال، حرف‌های خود را درباره‌ی حریم خصوصی به‌عمل تبدیل کرد. این غول فناوری حریم خصوصی را به‌ محوری‌ترین موضوع در هر محصول جدید تبدیل و توجه افراد بسیاری را به چگونگی محافظت از اطلاعات کاربران جلب کرده است.

iOS 13

با اینکه اپل در زمان صحبت از ویژگی‌های جدید مربوط‌به حریم خصوصی کاربران اسمی از گوگل یا فیسبوک نبرد، سرویس جدید اپل رقیبی جدی برای آن‌ها خواهد بود. اقدامات اپل درزمینه‌ی حریم خصوصی حتی به WatchOS هم کشیده شده است. یکی از قابلیت‌های مهم در ساعت اپل، اپلیکیشنی موسوم به Noise است که صداهای پس‌زمینه را شنود می‌کند و اگر صدای مستمری در محیط وجود داشته باشد که برای گوش کاربران تولید خطر کند، هشدار می‌دهد.

مقاله‌های مرتبط:

این برنامه نوعی قابلیت خوب و شگفت‌انگیز است که فکر گنجاندن آن در ساعت‌های هوشمند فقط به ذهن اپل می‌رسید. علاوه‌براین، آن‌ها حتی پا را فراتر گذاشته‌اند و این ایده را روی یکی از محصولات موجود در بازار و درمقیاس گسترده به مرحله‌ی اجرا درآورده‌اند. تأمل‌برانگیزتر آنکه اپل به موضوع دیگری هم اهمیت می‌دهد که خیلی از مردم حتی به آن فکر هم نمی‌کنند: همه‌ی فرایندهای پردازش صداها را اپلیکیشن Noise در همان لحظه انجام می‌دهد و اپل هیچ‌کدام از صداهایی که می‌شنود، در خود ذخیره نمی‌کند.

معرفی برنامه‌ی Noise می‌توانست مثل خیلی از برنامه‌های دیگر هیچ وعده‌ای درباره‌ی حفظ حریم خصوصی کاربران به آن‌ها ندهد و هیچ‌کس هم توقعی از آن نداشته باشد. چنین موضوعی به فکر هیچ‌کس خطور نمی‌کند؛ ولی کوپرتینو‌یی‌ها این ایده را عملی کردند. هرکدام از نرم‌افزارهای معرفی‌شده در WWDC قسمتی دارند که به حریم خصوصی کاربران اختصاص داده شده است. اپل خود را متعهد می‌داند روند حفظ حریم خصوصی و ردیابی را به کاری ساده و خودکار تبدیل و درک و محدودسازی آن را تسهیل کند و بین روش‌های خود با روش‌های به‌کاررفته در گوشی‌های همراه دیگر تفاوتی بارز ایجاد کند. نکته‌ی مهم اینجا است که کوپرتینویی‌ها اکنون حفظ حریم خصوصی را دیگر محدود به کاربران آیفون نمی‌دانند.

ورود به برنامه‌ها به روشی خاص و ساده و ایمن

iOS 13

یکی از مواردی که معرفی آن در WWDC جنجال زیادی به‌پا نکرد، سرویس SSO (مخفف Single Sign-on) یا قابلیت «ورود به سایت‌ها و برنامه‌ها با استفاده از اپل‌آیدی» بود. دکمه‌ی Sign-In with Apple نیز مانند سرویس‌های مشابهی که تاکنون گوگل و فیسبوک و توییتر ارائه کرده‌اند، به کاربر این امکان را می‌دهد با استفاده از اپل‌آیدی خود وارد اپلیکیشن‌ها و وب‌سایت‌ها شود و دیگر لازم نباشد حساب کاربری یا رمزعبور جدید ایجاد کنند.

مهم‌ترین ارمغان WWDC امسال برای کاربران، حریم خصوصی است

راحتی و سهولت کار فقط یکی از عواملی است که این قابلیت را به خصیصه‌ای عالی تبدیل کرده است. اپل مرزهای معمول حریم خصوصی و امنیت کاربران را بسیار فراتر از قبل برده است؛ بدین‌معنا که اگر حساب کاربری افراد با احراز هویت دوعاملی (Two-Factor Authentication) محافظت نشود، نمی‌توانند از Sign-In with Apple استفاده کنند.

این قابلیت با استفاده از Face ID یا Touch ID در آیفون‌ها و آیپدها، شناسه‌ی تصادفی و منحصربه‌فرد ایجاد می‌کند که اطلاعات شخصی کاربران را از دسترسی توسعه‌دهندگان دور نگه می‌دارد. جالب‌ترین ویژگی آن، این است که اگر توسعه‌دهندگان از کاربران درخواست ایمیل کنند، آن‌ها می‌توانند از ایمیل جعلی تصادفی و منحصربه‌فرد استفاده کنند که مطالب را به ایمیل واقعی آن‌ها فوروارد می‌کند. بدین‌ترتیب، سرویسی که کاربر وارد آن شده، نمی‌تواند به اطلاعات تماس کاربران در اینباکس‌هایشان دسترسی داشته باشد.

iOS 13

این سرویس به‌همراه iOS 13 ارائه خواهد شد. آن‌ها برای اینکه مطمئن شوند توسعه‌دهندگان این روش را می‌پذیرند، آن را برای همه اپلیکیشن‌هایی تحت iOS الزامی کرده‌اند که برای نحوه‌ی ورود به برنامه به کاربرانشان حق انتخاب می‌دهند و البته، این کار انتقاداتی را برانگیخته است.

آیرون پارکی، یکی از برنامه‌نویسان شرکت نرم‌افزاری اوکتا (Okta) است که اپلیکیشنی آزمایشی برای آزمایش این قابلیت ساخته است. وی می‌گوید هر زمان که می‌خواهد با استفاده از دکمه‌ی Sign In with Apple وارد اپلیکیشن بشود، به کد دوعاملی (2FA) احتیاج داشت. این روند درصورت استفاده از دستگاه‌ها و اپلیکیشن‌هایی که از روش احراز هویت بیومتریک استفاده نمی‌کنند، می‌تواند حوصله‌ی کاربر را سر ببرد. او در ادامه می‌گوید:

تنها بخش مفید این ادعا، ارزش فرعی آن است. این شناسه، شناسه‌ای منحصربه‌فرد برای هر کاربر است. نکته‌ی بسیار مهم آن است که این ارزش هیچ معنی خاصی ندارد و تنها، شیوه‌ای است که اپل برای حفظ حریم خصوصی کاربران خود برگزیده است.

این به آن معنی است که توسعه‌دهندگان می‌توانند بفهمند هر کاربر چندبار از اپلیکیشن آن‌ها استفاده می‌کند؛ اما هویت کاربران را نخواهند فهمید. به‌عبارت‌ساده، این کار اپل گامی بزرگ در جهت حفظ حریم خصوصی کاربران است.

apple

حتی اگر اپل با نیت قانع‌کردن افراد بیشتر به خرید آیفون دست به انجام این کار زده باشد، بازهم کارش ستودنی است. شاید توسعه‌دهندگان از اجباری‌بودن آن برای همه اپلیکیشن‌هایی گله‌مند باشند که از روش‌های ورود شخص ثالث پشتیبانی می‌کنند. به‌عبارت‌دیگر، اگر توسعه‌دهنده‌ای بخواهد گزینه‌های فیسبوک یا گوگل را به صفحه‌ی لاگین خود اضافه کند، باید اپل را هم درکنار آن‌ها قرار بدهد. این شایعه هم که اپل توسعه‌کنندگان را مجبور می‌کند اسم آن‌ها را در صدر فهرست اکانت‌ها قرار دهد، به ناراحتی‌ها می‌افزاید. باوجوداین، تا‌به‌حال نارضایتی کاربران ثبت نشده است و آنان مطمئن هستند که با این روش می‌توانند خود را از نگاه‌های کنجکاو توسعه‌دهندگان در امان نگه دارند.

آنچه این قابلیت اپل را از امکانات توسعه‌دهندگان دیگر مانند شبکه‌های اجتماعی فیسبوک و توییتر برای ورود به برنامه‌ها متمایز می‌کند، ممانعت آن از ردیابی کاربر به‌وسیله‌ی توسعه‌دهندگان برنامه‌ها است. دلیل پشتیبانی گوگل و فیسبوک از سرویس‌های «ورود به اپلیکیشن‌ها و سایت‌ها» (log in) آن است که امکان دسترسی به اطلاعات ارزشمند کاربران را پیدا می‌کنند. به‌‌بیان‌بهتر، کاربران با یک کلیک وارد اپلیکیشن‌ها می‌شوند؛ اما حریم خصوصی خود را قربانی این سهولت می‌کنند. بااین‌حال، درصورت استفاده‌ی کاربران از Sign In with Apple هیچ چیزی عاید توسعه‌دهندگان نمی‌شود.

iOS 13

این سرویس تا پاییز منتشر نخواهد شد و هنوزهم کسی اطلاعات زیادی درباره‌ی نحوه‌ی عملکردش ندارد؛ اما گفته می‌شود برای بهره‌بردن از این مزیت‌های این ویژگی اصلا نیازی نیست کاربر حتما دستگاه اپل داشته باشد. برای ورود به سایت‌های تحت‌وب هم می‌توان از این ویژگی استفاده کرد. بنابراین، فرقی نمی‌کند کاربر سیستم‌عامل اندروید باشید یا ویندوز و اگر اپل‌آیدی داشته باشد؛ ولی در‌حال‌حاضر دستگاهی با سیستم‌عامل iOS نداشته باشد، بازهم به‌راحتی می‌تواند از امنیتی مشابه امنیت دستگاه‌های آیفون بهرمند شود.

وجه تمایز سرویس sign-in اپل با سرویس‌هایی مانند فیسبوک و گوگل، ردیابی‌نکردن کاربر ازطریق توسعه‌دهندگان است

علاوه‌بر موارد مذکور در WWDC امسال، اپل ابزارهای مشترکی برای استفاده در پلتفرم‌های مختلف معرفی کرد که اپلیکیشن‌ها را از ردیابی مکان کاربران بازمی‌دارد. این ابزار شرایطی فراهم می‌کند که برنامه‌ها برای هربار استفاده از داده‌های مربوط‌به محل کاربر، مجبور به کسب اجازه‌ی مجدد از او باشند. در گذشته نیز اپل در معرفی ابزار این‌چنینی سابقه داشته  که ردیابی و جمع‌آوری داده‌ها را محدود می‌کند. به‌عنوان مثال، در رویداد WWDC سال گذشته، قوانین جدیدی در سافاری اجرا شد که ردیابی کاربر در وب موسوم به انگشت‌نگاری مرورگر (Browser Fingerprinting) را محدود می‌کرد.

معرفی حریم خصوصی به‌عنوان سرویسی جدید، ایده‌ی جذابی است. کاملا آشکار است شرکت‌هایی که با داده‌های کاربران سروکار دارند، علاقه‌ای به اتخاذ اقدامات امنیتی قوی‌تر برای محافظت از حریم خصوصی کاربران نداشته باشند. کافی است نگاهی به آمازون و الکسا بیندازید تا این موضوع برای همه ثابت شود. همان‌گونه که تیم کوک می‌گوید، اپل هیچ علاقه‌ای به فروش داده‌های کاربران ندارد؛ پس، طبیعی است که تعهد خود دربرابر حریم خصوصی را دوبرابر کند. البته، نباید فراموش کرد آن‌ها به فروش هرچه‌بیشتر آيفون و سرویس‌های جدید هم بسیار متعهد هستند.

مدیرعامل تلگرام چینی‌ها را به حمله سایبری متهم کرد

مدیرعامل سرویس پیام‌رسان تلگرام روز چهارشنبه اعلام کرد که سرویسش تحت حملات سایبری «با گستردگی درسطح دولتی» قرار گرفته و مبدأ این حملات به‌احتمال زیاد کشور چین است. پاول دورف می‌گوید سرورهای تلگرام هدف حملات DDoS بوده‌اند و IP اکثر حملات به مناطقی داخل کشور چین می‌رسد. او اظهارنظرهای خود را به‌جای متن رسمی، در توییتر منتشر کرد. دورف اعتقاد دارد هم‌زمانی حمله‌ها با اعتراض‌های جاری در هنگ‌کنگ، معنای خاصی خواهد داشت.

حملات DDoS عموما تعداد زیادی ریکوئست را به هدف مورد نظر ارسال می‌کنند که به‌صورت موقتی یا دائمی فعالیت آن را متوقف می‌کند. اعتراضات جاری در هنگ‌کنگ، در واکنش به قانون جدیدی انجام شد که ارتباط مقامات این شهر با دولت چین را افزایش می‌دهد. قانون احتمالی، استرداد مجرمان هنگ‌کنگی به چین را مجاز می‌کند. رسانه‌های چینی به‌شدت اعتراض‌ها را محکوم کرده‌اند. آن‌ها می‌گویند اعتراض‌ها از منابع خارجی قدرت می‌گیرد و درنهایت به چالش‌های اجتماعی در هنگ‌کنگ منجر خواهد شد. سازمان فضای سایبری چین (CAC) که مدیریت و نظارت بر فضای سایبری کشور را برعهده دارد، تاکنون اظهارنظری درباره‌ی رخدادهای پیش‌آمده و اتهام مطرح‌شده از سوی پاول دورف نداشته است.

هک تلگرام

اپلیکیشن‌های پیام‌رسان با ماهیت رمزنگاری همچون تلگرام، عموما در اعتراض‌‌های سیاسی سرتاسر جهان کاربرد پیدا می‌کنند. درواقع معترضان از قابلیت‌های رمزنگاری برای برنامه‌ریزی و هماهنگی اعتراض‌ها استفاده می‌کنند. دورف در ادامه‌ی اظهارنظرهای خود پیرامون حمله‌ها ادعا کرد که چنین حمله‌هایی با چنین ابعادی قبلا هم در پی اعتراضات در هنگ‌کنگ رخ داده است و حمله‌ی اخیر هم شباهت زیادی با رخدادهای پیشین داشت.

حرکت‌های سیاسی در هنگ‌کنگ، قبلا هم منجر به مسدود شدن اپلیکیشن‌های متعددی شده‌اند. به‌عنوان مثال در سال ۲۰۱۴ و در اوج جریان اعتراضی Umbrella در هنگ‌کنگ، دولت مرکزی چین دسترسی به اپلیکیشن اینستاگرام را محدود کرد. به‌هرحال مقامات چینی قبلا هم هرگونه دست داشتن در حملات سایبری را تکذیب کرده‌اند. آن‌ها همیشه ادعا می‌کنند که چین، خود قربانی حملات سایبری خارجی است.

امکان ورود کاربران iOS به حساب گوگل با گوشی اندرویدی

گوگل اعلام کرد که کاربران می‌توانند با استفاده از گوشی‌های هوشمند اندرویدی به‌عنوان کلیدهای امنیتی سخت‌افزاری، در آیفون و آیپد به حساب کاربری خود وارد شوند. این خبر تقریبا یک ماه پس از رونمایی قابلیت مشابه برای لپ‌تاپ‌ها و کامپیوترهای شخصی منتشر شد. غول موتور جست‌وجو قبلا به کاربران امکان داده بود تا از گوشی اندرویدی به‌عنوان ابزار امنیتی ورود به حساب کاربری در لپ‌تاپ و  PC استفاده کنند.

رویکرد گوگل در ورود کاربران بدون نیاز به رمز عبور، قبلا در سیستم‌عامل‌های کروم، مک و ویندوز ۱۰ ارائه شده بود. با خبر جدید، پوشش قابلیت امن گوگل به سیستم‌عامل iOS هم رسید. البته یک تفاوت عمده بین ورود به حساب کاربری iOS و دیگر دستگاه‌ها وجود دارد. در کامپیوترهای شخصی و لپ‌تاپ، از مرورگر کروم به‌عنوان واسط بین کلید امنیتی گوشی و کامپیوتر عمل می‌کند. ارتباط امن نیز ازطریق بلوتوث و طبق پروتکل امنیتی کاربر به کلید FIDO برقرار می‌شود.

ورود به گوگل در iOS

مقاله‌های مرتبط:

از آن‌جایی که iOS به‌صورت پیش‌فرض به مرورگر کروم مجهز نیست، کاربر برای پیاده‌سازی قابلیت جدید باید اپلیکیشن اختصاصی Smart Lock گوگل را نصب کند (شایان ذکر است اپلیکیشن کروم فعلی در iOS از موتور رندر WebKit اپل استفاده می‌کند). به‌علاوه کاربر درکنار نصب اپلیکیشن مخصوص باید فرایند تأیید هویت دومرحله‌ای را فعال کند. گوشی اندرویدی نیز باید به اندروید ۷ نوقا یا نسخه‌ی جدیدتر مجهز باشد.

به‌جز موارد بالا، سایر قابلیت‌ها در iOS شباهت زیادی به سیستم‌عامل‌های دیگر دارد. برای اجرای اولیه، بلوتوث هر دو دستگاه اندرویدی و iOS باید فعال باشد. با این اتصال، گوشی اندرویدی از هرگونه تلاش برای ورود به حساب کاربری در دستگاه iOS اطلاع پیدا می‌کند. درنتیجه دستگاه اندرویدی می‌تواند ورودها را تأیید یا رد کند.

به محض اینکه کاربر تصمیم به ورود به حساب کاربری گوگل در دستگاه iOS بگیرد، پیامی برای تأیید ورود در دستگاه اندرویدی نمایش داده می‌شود. با لمس دکمه‌ی تأیید، پیام به دستگاه iOS ارسال شده و فرایند ورود تکمیل می‌شود. اگرچه سازوکارهای مبتنی بر بلوتوث هنوز به‌عنوان راهکارهای ایده‌آل امنیتی شناخته نمی‌شوند، اما همین روش‌ها هم بهتر از خاموش کردن کامل تأیید هویت دو مرحله‌ای خواهند بود.

خبر گوگل مبنی بر پیاده‌سازی روش ورود بدون رمز عبور، کمی پس از کنفرانس توسعه‌دهنده‌های اپل و خبر ورود به حساب‌های کاربری با iOS منتشر شد (قابلیت Sign in with Apple). قابلیت جدید اپل به کاربران iOS امکان می‌دهد تا بدون اشتراک‌گذاری هیچ‌گونه اطلاعات شخصی و تنها با استفاده از اپل آی‌دی به حساب کاربری در وب‌سایت‌ها و اپلیکیشن‌های دیگر وارد شوند.

غول‌هایی همچون گوگل، اپل و مایکروسافت به‌صورت پیوسته به‌دنبال پیاده‌سازی راهکارهای بهینه‌ی تأیید هویت هستند. این اقدام آن‌ها شاید نشانه‌ا‌ی مبنی بر از بین رفتن کامل رمزهای عبور در آینده‌ی نزدیک باشد.

پروفایل لینکدین با تصویر جعلی ساخت هوش مصنوعی، از کاربران جاسوسی می‌کرد

دستاورد‌های روبه‌رشد فناوری، به‌‌ویژه هوش مصنوعی، هرروز رو‌به‌گسترش است. اگرچه این دستاوردها مهم و ارزشمند هستند و باعث پیشرفت و پیشبرد مرزهای دانش در حوزه‌های مختلف شده‌اند، گاهی اوقات باعث ایجاد ترس و سلب امنیت نیز هستند. خبری که آسوشیتدپرس منتشر کرده، این نکته را تأیید می‌کند.

جاسوسان ممکن است از فناوری هوش مصنوعی برای ساخت تصاویر جعلی اشخاصی استفاده کنند و به آن‌ها هویت بخشند که اصلا وجود خارجی ندارند. این‌بار جاسوسان از فناوری هوش مصنوعی سوءاستفاده‌ و از آن‌ برای ایجاد پروفایلی جعلی در لینکدین استفاده کردند. دلیل استفاده از هوش مصنوعی برای ساختن تصویر پروفایل، تشخیص‌ناپذیر و شناسایی‌نشدنی بودن عکس‌ است؛ چراکه هوش مصنوعی می‌تواند تصاویری بسیار نزدیک به واقعیت تولید کند.

امروزه، شنیدن خبر وجود حساب‌های جعلی در سرویس شبکه‌های اجتماعی موضوع جدیدی نیست، اما اخیرا آسوشیتدپرس مورد مشکوکی به‌نام کتی جونز (Katie Jones) را در شبکه اجتماعی لینکدین گزارش کرده است. باتوجه‌به اطلاعاتی که از پروفایل و حساب کاربری لینکدین این فرد مشخص است، وی خانم موقرمزی است که ادعا می‌کند در مرکز تحقیقاتی عالی (اتاق فکر) در واشنگتن کار می‌کند.

مقاله‌های مرتبط:

لینکدین

براساس اطلاعات آسوشیتدپرس، این مشخصات نه‌تنها جعلی است؛ بلکه بسیار متحمل است که تصویر چهره‌ی زن را یکی از برنامه‌های قدرتمند هوش مصنوعی طراحی کرده باشد. برای پی‌بردن به دلایل و شواهد برای اثبات جعلی‌بودن این تصویر ممکن است به دقت بسیار زیادی نیاز باشد؛ اما با بررسی دقیق این تناقض‌های کوچک شناسایی‌شدنی هستند.

رافائل ساتر در توییتر خود نوشت:

ماه گذشته توجه من به موردی مشکوک جلب شده بود: حساب کاربری جعلی فردی در لینکدین که با اعضای اتاق فکر واشنگتن و مقام‌های ارشد ایالات متحده مرتبط بود. عجیب‌تر از آن اینکه حتی چهره این شخص جعلی بود. بسیار حیرت‌آور است.

چندین کارشناس فناوری آسوشیتدپرس تأیید کردند باتوجه‌به بررسی‌های آن‌ها، تصویر پروفایل مذکور را هوش مصنوعی براساس مدل شناسایی معایب ایجاد کرده است. این الگوریتم یکی از متداول‌ترین الگوریتم‌های هوش مصنوعی برای ساخت تصاویر جعلی به‌وسیله‌ی GAN است. شبکه‌های مولد تخاصمی که به‌اختصار GAN نامیده می‌شوند، با بهره‌گیری از ترکیب هوشمندانه‌ای از دو شبکه‌ی عصبی عمیق که با یکدیگر رقابت می‌کنند، تصاویر جدیدی برمبنای تصاویر جهان واقعی می‌تواند بسازد.  

تصاویرساخته شده توسط هوش مصنوعی

پژوهشگران از فناوری‌های پیشرفته‌ی حوزه هوش مصنوعی استفاده کردند تا نشان دهند چگونه تصاویری می‌توانند بسیار واقعی جلوه دهند؛ اما درحقیقت، این‌ها تصاویری جعلی از افرادی هستند که هرگز در دنیای واقعی وجود نداشته و ندارند. همچنین، پژوهشگران حوزه‌ی هوش مصنوعی توجه زیادی به مدل‌های زایشی می‌کنند؛ زیرا این مدل‌ها سنگ‌بنای ساخت سیستم‌های هوشمندی هستند که داده‌های خام جهان را دریافت و برمبنای آن‌ها به‌طورخودکار ادراک می‌کنند.

برای ایجاد تصاویر، شبکه‌های مولد تخاصمی (GAN) چهره‌های جعلی را از روی تصاویر موجود از چهره‌ی افراد واقعی مدل‌سازی می‌کند. درنهایت، الگوریتم‌های هوش مصنوعی دیگر ویژگی‌های مختلف مانند سبک مو و شکل چشم و دهان را از دیگر تصاویر گوناگون می‌گیرد و آن‌ها را برای ایجاد چهره‌ی فرد کاملا جدید ادغام می‌کند. ایده‌ی اصلی ساخت تصویر برپایه‌ی عکس‌های جهان واقعی این است که اگر ماشین بتواند تصویر چیزی را بسازد، یعنی ادراکی از آن دارد.

مقاله‌های مرتبط:

این دستاورد هوش مصنوعی ممکن است بسیار حیرت‌آور به‌نظر برسد؛ اما این فناوری هنوز کامل نیست و مانند هزاران فناوری نوپا معایبی نیز دارد. در طول فرایند الگوریتم هوش مصنوعی در ترکیب ویژگی‌های دیگر، برای تکمیل جزئیات اطراف چهره‌ی ساخته‌شده، پردازش هوش مصنوعی با مشکلاتی روبه‌رو است. برای نمونه، درباره‌ی تصویر جعلی پروفایل کتی جونز، آسوشیتدپرس گوشواره‌ی عجیب‌و‌غریب صاحب این تصویر را ساختگی دانست و گفت گوشواره‌ای که در گوش چپ این زن است، با بررسی دقیق تار یا ذوب‌شده به‌نظر می‌رسد و ساختگی‌بودنش تشخیص‌دادنی است.

بااین‌حال، عکس به‌خودی‌خود بسیار واقعی به‌نظر می‌رسد. آسوشیتدپرس اعلام کرد شناسایی جعلی‌بودن حساب لینکدین کتی جونز نه‌تنها براساس چهره‌ی ساختگی او تشخیص‌‌پذیر بود؛ بلکه مشخصات پروفایلش نیز معتبر نبود و مشخص شد همه‌ی این اطلاعات جعلی بودند.

درحال حاضر، این حساب کاربری در لینکدین حذف شده است؛ اما سؤال واقعی اینجا است که این حساب را چه کسی و چرا ایجاد کرده است؟ هنوز روشن نشده پشت این داستان جاسوسان واقعی وابسته به دولت هستند یا ایجاد پروفایل کتی جونز کار کلاه‌برداران عادی بوده است. بااین‌حال، این حساب کاربری در لینکدین سعی می‌کرد با شبکه‌ای از مقام‌های سابق دولت ایالات متحده و کارشناسان سیاسی آن ارتباط برقرار کند.

اگر تصویر را هوش مصنوعی با الگوریتم شبکه‌‌ی مولد تخاصمی ایجاد کرده باشد، دربرابر روش جست‌وجوی معکوس تصویر (Reverse-Image Searches) مقاوم است. با دانستن این نکته اغلب می‌توان نشان داد تصویر حساب کاربری مدنظر جعلی است یا این تصویر، تصویری واقعی است. در روش جست‌وجوی معکوس تصویر می‌توان با استفاده از یک تصویر، به‌دنبال عکس‌های مشابه یا کسب اطلاعات بیشتر از آن تصویر در فضای اینترنت بود. گفتنی است گوگل سال‌ها است این قابلیت را به موتور جست‌وجوی خود اضافه کرده است.